отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Проблема с Radius accounting приходящим на не свой сервер.

Имеется конфигурация Сisco ASR 1004
-----
aaa group server radius ISG-RADIUS
 server XX.YY.20.200 auth-port 1814 acct-port 1815
!
aaa group server radius ipoe-l3
 server-private XX.YY.255.200 auth-port 1812 acct-port 1813 key 7 075E731F1F5B4A
 ip radius source-interface TenGigabitEthernet1/0/0.20
!
aaa authentication login ISG-AUTH-1 group ISG-RADIUS
aaa authentication login ipoe-isg-aaa group ipoe-l3
aaa authorization network ISG-AUTH-1 group ISG-RADIUS
aaa authorization network ipoe-isg-aaa group ipoe-l3
aaa authorization subscriber-service default local group ISG-RADIUS
aaa accounting update periodic 1
aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS
aaa accounting network ipoe-isg-aaa start-stop group ipoe-l3
!
policy-map type control ISG-INTERFACE-POLICY
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password 123 identifier remote-id plus circuit-id plus mac-address
  30 service-policy type service name INET_FAKE
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  5 service-policy type service unapply identifier service-name
 !
 class type control always event session-restart
  10 authorize aaa list ISG-AUTH-1 password 123 identifier remote-id plus circuit-id plus mac-address
  30 service-policy type service name INET_FAKE
 !
!
policy-map type control IPoE-ISG
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event session-start
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name SERVICE-TRUSTED
  40 service-policy type service name SERVICE-REDIRECT
 !
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  5 service-policy type service unapply identifier service-name
  10 log-session-state
 !
 class type control always event session-restart
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name SERVICE-TRUSTED
  40 service-policy type service name SERVICE-REDIRECT
 !
!
-----

Я тестирую переход для абонентов с L2 на L3 конфигурацию:
-----
interface TenGigabitEthernet1/0/0.399
 encapsulation dot1Q 399
 ip address XX.YY.106.1 255.255.254.0
 no ip proxy-arp
 arp timeout 300
 service-policy type control ISG-INTERFACE-POLICY
 ip subscriber l2-connected
  initiator dhcp class-aware
end

interface TenGigabitEthernet1/0/0.399
 encapsulation dot1Q 399
 ip address XX.YY.106.1 255.255.254.0
 no ip proxy-arp
 arp timeout 300
 service-policy type control IPoE-ISG
 ip subscriber routed
  initiator unclassified ip-address
end
-----
предполагалось перевод одного района за заход и как следствие на конфигурацию одновременно обслуживает 2 радиус сервера с разным типом авторизации.

Во время тестирования я отписывал последовательно:
aaa authorization subscriber-service default local group ISG-RADIUS
aaa authorization subscriber-service default local group ISG-RADIUS group ipoe-l3
aaa authorization subscriber-service default local group radius

после какой то комбинации этих параметров c с кошки начал приходить accounting не на свой сервер.

кошка
-----
asr#sho ip subscriber ip XX.YYY.109.154
IP subscriber: fc8b.9744.c60c, type connected, status up
  display uid: 1912, aaa uid: 2237316

asr#sho subscriber session uid 1912
Type: IP, UID: 1912, State: authen, Identity: 00061c7ee5696c80:000400f30003:fc8b.9744.c60c
Session Up-time: 1w0d    , Last Changed: 6d05h
Switch-ID: 19801750

Policy information:
  Authentication status: authen
  Active services associated with session:
    name "SPEED_40MB"
  Rules, actions and conditions executed:
    subscriber rule-map ISG-INTERFACE-POLICY
      condition always event session-start
        10 authorize aaa list ISG-AUTH-1 identifier remote-id:circuit-id:mac-address
    subscriber rule-map ISG-INTERFACE-POLICY
      condition always event service-stop
        1 service-policy type service unapply identifier service-name
        5 service-policy type service unapply identifier service-name

Classifiers:
Class-id    Dir   Packets    Bytes                  Pri.  Definition
0           In    2777770    794290943              0    Match Any
1           Out   9130888    9030864024             0    Match Any

Features:

Idle Timeout:
Class-id   Dir  Timeout value   Idle-Time            Source
1          Out  60              00:00:08             SPEED_40MB

Accounting:
Class-id   Dir  Packets    Bytes                 Source
0          In   2406434    689729388             SPEED_40MB
0          In   2777435    744317923             Peruser
1          Out  7713371    7347674377            SPEED_40MB
1          Out  9130941    8866767099            Peruser

Configuration Sources:
Type  Active Time  AAA Service ID  Name
USR   1w0d         -               Peruser
SVC   6d05h        4227862216      SPEED_40MB
INT   1w0d         -               Port-channel2.243

-----

Радиус аккаунтинг
-----
Packet type: Accounting-Request
Identifier: 67
Authenticator: {94 99 9B 54 8F 8D AF BA 39 0E C1 8F C8 0F 1B 80}
Attributes:
  User-Name=00061c7ee5696c80:000400f30003
  NAS-Identifier=my.com.ru
  NAS-IP-Address=XX.YY.20.2
  NAS-Port=6555461
  Service-Type=2
  Framed-Protocol=1
  Framed-IP-Address=XX.YY.109.154
  Acct-Input-Octets=689662677
  Acct-Output-Octets=-1242488163
  Acct-Status-Type=3
  Acct-Delay-Time=0
  Acct-Session-Time=538329
  Acct-Input-Packets=2406053
  Acct-Session-Id=15/0/2/243_9D0000000067B043
  NAS-Port-Id=15/0/2/243
  Acct-Output-Packets=7712465
  Event-Timestamp=1428565527
  Acct-Output-Gigawords=1
  Acct-Input-Gigawords=0
  Calling-Station-Id=fc8b.9744.c60c
  NAS-Port-Type=33
  cisco-avpair=parent-session-id=15/0/2/243_9D00000000640745
  cisco-avpair=circuit-id-tag=000400f30003
  cisco-avpair=remote-id-tag=00061c7ee5696c80
  cisco-avpair=vendor-class-id-tag=dslforum.org
  cisco-NAS-Port=15/0/2/243
  cisco-SSG-Control-Info=I0;689662677
  cisco-SSG-Control-Info=O1;3052479133
  cisco-SSG-Service-Info=NSPEED_40MB
-----

удаление полиси, access-list, aaa authorization subscriber-service, aaa authentication, aaa authorization не помогают. Аккаунтинг можно прекратить либо завершением сессии либо удалением радиус сервера из конфигурации.

Уважаемые специалисты подскажите что можно сделать в такой ситуации кроме переноса конфигурации на другое железо либо перезагрузки маршрутизатора?

158
Просмотры
0
Полезный материал
0
Ответы